תוכן עניינים:
וִידֵאוֹ: A 5 ª Onda | Trailer Legendado com Chloë Grace Moretz | 21 de janeiro nos cinemas (נוֹבֶמבֶּר 2024)
סקר אבטחת הענן של מכון SANS בשנת 2019 מפוכח (תצטרך להירשם לחברות בחינם בכדי לקרוא אותו). בדו"ח נכתב על ידי דייב שקקלפורד באפריל 2019, ומספר כמה עובדות ומספרים מאכזבים. לדוגמא, ניתן היה לחשוב שאחרי כל דיווחי הפרצות האחרונים, נהיה טובים יותר להגן על משאבי הענן שלנו. אבל לא רק שאנחנו עדיין די גרועים בזה, הבעיה הגדולה אפילו לא טכנולוגיה. זה עדיין אנשים. אינדיקציה ברורה לכך מופיעה ברשימת הדוחות של סוגי ההתקפות המובילות, החל מחטיפת חשבונות או אישורים, והסיבה מספר 2 לתצורה שגויה של שירותי ענן ומשאבים.
כמובן, ישנן דרכים רבות בהן ניתן לגנוב תעודות, כאשר הדיוג פשוט הוא האחרון ובמקרים מסוימים הקשה ביותר להתמודד איתן. אך ניתן לאסוף אישורים גם מנתונים מהפרות אחרות, פשוט משום שאנשים משתמשים מחדש באותם אישורים שבהם הם יכולים, כך שלא יזכרו יותר מהנדרש. בנוסף, התרגול המכובד בזמן של כתיבת מידע התחברות על תווים דביקים והדבקה ליד מקלדת הוא עדיין מאוד סביב.
תצורה שונה של שירותי ענן הוא תחום נוסף בו אנשים הם נקודת התורפה. ההבדל כאן הוא שאנשים ייצאו ויעמידו שירות ענן בלי שיהיה להם מושג מה הם עושים ואז הם ישתמשו בו כדי לאחסן נתונים בלי להגן עליהם.
"ראשית, באימוץ ענן, היה כל כך הרבה כמה קל לעמוד בענן שיש ציפיות לא מציאותיות", הסביר שפרינגר. "אנשים עושים טעויות, ולא ממש ברור מה עליך לעשות כדי להגדיר אבטחה סביב מכולות."
ערפול בביטחון אינו טוב
חלק מהבעיה היא שספקי ענן לא באמת מבצעים עבודה מספקת בכדי להסביר כיצד אפשרויות האבטחה שלהם עובדות (כפי שהתברר לי כשסקרתי לאחרונה פתרונות תשתית כשירות או IaaS), כך שאתה צריך לנחש או להתקשר הספק לעזרה. לדוגמה, עם שירותי ענן רבים, יש לך אפשרות להפעיל חומת אש. אולם לא ניתן יהיה להסביר בבירור כיצד לברר כיצד להגדיר את התצורה ברגע שהוא פועל. בכלל.
הבעיה היא כל כך גרועה עד ששאקלפורד, מחבר דו"ח ה- SANS, מתחיל את הדו"ח ברשימה של דליים ללא הגנה על אמזון פשוט (S3) שהביאו להפרות. "אם יש להאמין במספרים, 7 אחוזים מדללי S3 פתוחים לרחבי העולם", כתב, "ועוד 35 אחוזים אינם משתמשים בהצפנה (המובנית בשירות)." אמזון S3 היא פלטפורמת אחסון נהדרת ככל שהתברר שהבדיקה שלנו. בעיות כמו אלה נובעות פשוט מהמשתמשים שמגדירים את תצורת השירות בצורה שגויה או שהם אינם מודעים לחלוטין לתכונות מסוימות שקיימות.
שימוש לרעה מוגבלת מופיע הבא ברשימה וזו בעיה נוספת הנובעת מאנשים. ספרינגר אמר שזה יותר מסתם עובדים ממורמרים, אם כי זה כולל את אלה. "הרבה מה שהוחמצו הם צדדים שלישיים שיש להם גישה מיוחדת", הסביר. "הרבה יותר קל לעבור דרך גישה לחשבון שירות. בדרך כלל, מדובר בחשבון יחיד עם סיסמה יחידה, ואין אחריות."
חשבונות שירות ניתנים לרוב לצדדים שלישיים, לרוב ספקים או קבלנים הזקוקים לגישה כדי לספק תמיכה או שירות. זה היה חשבון שירות כזה ששייך לקבלן חימום, אוורור, מיזוג אויר (HVAC) שהיה נקודת התורפה שהובילה להפרת היעד בשנת 2014. "לחשבונות אלה יש בדרך כלל הרשאות דומות לאלוהים", אמר ספונגר והוסיף כי הם מטרה ראשונה לתוקפים.
התגברות על פגיעויות אבטחה
אז מה אתה עושה בפגיעויות אלה? התשובה הקצרה היא אימונים אבל זה יותר מורכב. לדוגמה, צריך להכשיר משתמשים לחפש דוא"ל דיוג, וההדרכה צריכה להיות מלאה מספיק כדי להכיר אפילו סימנים עדינים של דיוג. בנוסף, זה צריך לכלול את הצעדים שעובדים צריכים לנקוט אם הם אפילו חושדים שהם רואים התקפה כזו. זה כולל כיצד לראות לאן באמת הולך קישור בהודעת דוא"ל, אך הוא צריך לכלול גם נהלים לדיווח על דוא"ל כזה. האימונים צריכים לכלול אמונה שהם לא יסתבכו בגלל שהם לא יפעלו לפי הוראות שנשלחו בדוא"ל שנראים חשודים.
כמו כן, צריכה להיות רמה מסוימת של ממשל תאגידי כדי שהעובדים האקראיים לא יוצאים ומקים חשבונות לשירות ענן משלהם. זה כולל צפייה בשובר דוחות הוצאות בגין חיובים עבור שירותי ענן בכרטיסי אשראי אישיים. אבל זה גם אומר שאתה צריך לספק הדרכה כיצד להתמודד עם הזמינות של שירותי ענן.
התמודדות עם שימוש לרעה המשתמש
התמודדות עם שימוש לרעה על ידי משתמשים יכולה להיות מאתגרת גם מכיוון שספקים מסוימים יתעקשו על גישה עם מגוון רחב של זכויות. אתה יכול להתמודד עם חלק מזה על ידי פילוח הרשת שלך כך שהגישה תהיה רק לשירות שמנוהל. לדוגמה, פילחו אותו כך שבקר ה- HVAC נמצא בקטע משלו, וספקים המוטלים לשמור על מערכת זו מקבלים גישה רק לאותו חלק של הרשת. מדד נוסף שעשוי לסייע במימושו הוא פריסת מערכת חזקה של ניהול זהויות (IDM), שתמשיך לא רק לעקוב אחר החשבונות בצורה טובה יותר, אלא גם למי יש אותם ואת זכויות הגישה שלהם. מערכות אלה יאפשרו לך גם להשעות את הגישה במהירות רבה יותר ולספק מסלול ביקורת של פעילות החשבון. ובעוד שתוכלו לבזבז דולרים גדולים על כסף אחד, יתכן שכבר יש לכם אחד כזה שרץ אם אתם חנות שרתים של Windows עם עץ של Microsoft Active Directory (AD).
- סוויטות האבטחה הטובות ביותר לשנת 2019 סוויטות האבטחה הטובות ביותר לשנת 2019
- ספקי אחסון ענן ושיתוף קבצים הטובים ביותר לעסקים עבור שנת 2019 ספקי אחסון ושיתוף קבצים לעסקים הטובים ביותר לשנת 2019
- שירותי גיבוי הענן הטובים ביותר לעסקים בשנת 2019 שירותי הגיבוי הענן הטובים ביותר לעסקים בשנת 2019
יתכן שתצטרך לוודא שלספקים יש גישה בעלת הפחות הרשאות כך שהחשבונות שלהם רק מעניקים להם זכויות על התוכנה או המכשיר שהם מנהלים ושום דבר אחר - עוד שימוש נהדר במערכת IDM. אתה יכול לדרוש מהם לבקש גישה זמנית לכל דבר אחר.
אלה רק הפריטים המובילים ברשימה ארוכה למדי של צרות אבטחה, וכדאי לקרוא את דו"ח סקר האבטחה של SANS במלואו. הרשימה שלה תעניק לך מפת דרכים לגישה לפגיעויות האבטחה שלך והיא תעזור לך להבין צעדים נוספים שתוכל לנקוט. אך בשורה התחתונה, אם אינך עושה דבר בקשר לבעיות שדווחו על ידי SANS, אז אבטחת הענן שלך תסריח, וכנראה שתתפס במערבולת של כישלון כאשר הענן שלך יסתובב בביוב עד לפיצוץ מלא הפרה.
